Esto no es una botnet, es un negocio: cómo los hackers construyeron un imperio proxy aprovechando la confianza en el Wi-Fi

Las autoridades judiciales desmantelaron una botnet que, durante veinte años, infectó miles de routers alrededor del mundo. Con su ayuda, los atacantes crearon dos redes de servidores proxy operando a través de dispositivos domésticos — Anyproxy y 5socks.

El Departamento de Justicia de EE. UU. presentó cargos contra cuatro acusados: los ciudadanos rusos Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov y Alexander Alexandrovich Shishkin, así como el ciudadano kazajo Dmitry Rubtsov. Según la investigación, estuvieron implicados en la creación, mantenimiento y monetización de estos servicios ilegales.

La operación, bajo el nombre clave "Moonlander", fue resultado de la colaboración entre autoridades estadounidenses, la fiscalía y la policía nacional de los Países Bajos, el Ministerio Público neerlandés (Openbaar Ministerie), la policía real de Tailandia, y analistas de Black Lotus Labs, pertenecientes a la empresa Lumen Technologies.

Los documentos del caso muestran que, desde 2004, la botnet infectaba routers inalámbricos obsoletos con software malicioso. El acceso no autorizado a estos dispositivos comprometidos se vendía como servidores proxy — que funcionaban a través de conexiones domésticas — en los sitios Anyproxy.net y 5socks.net. Ambos dominios estaban registrados a nombre de una empresa en el estado de Virginia, mientras que los servidores estaban distribuidos en diversos países.

"Los operadores solo aceptan pagos en criptomonedas. Los usuarios obtienen acceso directo al proxy sin autenticación, lo que, como han demostrado incidentes anteriores, ofrece amplias oportunidades a los delincuentes", señalan los especialistas de Black Lotus Labs.

Según sus datos, herramientas populares como VirusTotal detectan como maliciosas apenas el 10 % de las direcciones IP de esta red. Esto permite a los proxies evadir de forma constante y eficaz la mayoría de los sistemas de monitoreo de red. Dichos servicios facilitan diversas actividades ilícitas: fraude publicitario, ataques DDoS, fuerza bruta de contraseñas y robo de datos de usuarios.

El precio de suscripción oscilaba entre 9,95 y 110 dólares al mes, dependiendo del paquete de servicios. El eslogan del sitio — "¡Trabajamos desde 2004!" — confirma que el servicio operaba desde hace más de dos décadas.

Los acusados publicitaban sus servicios en diversas plataformas, incluidos mercados oscuros, ofreciendo acceso a más de 7000 proxies con direcciones IP domésticas. Según la acusación, generaron más de 46 millones de dólares vendiendo suscripciones a routers infectados dentro de la red Anyproxy.

Para administrar los sitios Anyproxy.net y 5socks.net, se utilizaban servidores del proveedor de hosting ruso JCS Fedora Communications. La infraestructura de la botnet también incluía servidores en los Países Bajos, Turquía y otros países, desde donde se controlaban tanto la botnet como ambos sitios.

A todos los implicados se les acusa de conspiración y daño a sistemas informáticos protegidos. A Chertkov y Rubtsov también se les imputa el uso de información falsa para registrar un nombre de dominio.

El miércoles, el FBI emitió una alerta urgente y un comunicado público informando que la botnet está atacando routers sin soporte (end-of-life, EoL), utilizando una versión modificada del malware TheMoon. Los proxies instalados permiten encubrir ciberataques por encargo, robo de criptomonedas y otros delitos.

Entre los objetivos más comunes se encuentran diversos modelos de routers Linksys y Cisco. En la lista de dispositivos vulnerables también figuran: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, así como los modelos Linksys WRT320N, WRT310N, WRT610N y los routers Cisco M10 y Cradlepoint E100.

"Recientemente descubrimos que routers obsoletos con administración remota habilitada están siendo infectados con una nueva variante del malware TheMoon. Esta permite a los atacantes instalar proxies en dispositivos de usuarios desprevenidos y cometer delitos de forma anónima", explican desde el FBI.

Como se indica en el pliego acusatorio, los proxies con direcciones residenciales son especialmente valiosos para los hackers, ya que los sistemas de seguridad en línea tienden a considerar ese tráfico como más legítimo que el proveniente de direcciones comerciales.